CN112469043A - 一种鉴权的方法及装置 - Google Patents

一种鉴权的方法及装置 Download PDF

Info

Publication number
CN112469043A
CN112469043A CN201910849404.0A CN201910849404A CN112469043A CN 112469043 A CN112469043 A CN 112469043A CN 201910849404 A CN201910849404 A CN 201910849404A CN 112469043 A CN112469043 A CN 112469043A
Authority
CN
China
Prior art keywords
type
authentication
vector
response message
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910849404.0A
Other languages
English (en)
Other versions
CN112469043B (zh
Inventor
银宇
戚彩霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201910849404.0A priority Critical patent/CN112469043B/zh
Priority to PCT/CN2020/113836 priority patent/WO2021047481A1/zh
Publication of CN112469043A publication Critical patent/CN112469043A/zh
Application granted granted Critical
Publication of CN112469043B publication Critical patent/CN112469043B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种鉴权的方法及装置,用以实现通过5G技术接入4G网络中对终端设备的鉴权,保证终端设备的安全性。该方法为:移动管理设备在接收终端设备发送的请求消息后,向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;所述移动管理设备接收所述家乡用户服务器发送的鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。通过上述方法,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。

Description

一种鉴权的方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种鉴权的方法及装置。
背景技术
目前,在第五代(5th generation,5G)网络中,接入网络(access network,AN)通过 N2接口接入接入和移动性管理功能(access and mobility management function,AMF),核心网基于服务化架构(service based architecture,SBA)实现。
5G网络采用大量新的技术,比如服务化框架,超文本传输协议(hyperTexttransfer protocol,HTTP)或者传输安全协议(transport layer security,TLS)等,这些技术在移动通信网络内没有应用过,目前还不够成熟。另外,运营商为5G网络需要投资建设新的基础设施,投资成本较大。因此,目前5G网络的应用还比较受限。
发明内容
本申请提供一种鉴权的方法及装置,用以实现通过5G技术接入4G网络中对终端设备的鉴权,保证终端设备的安全性。
第一方面,本申请提供了一种鉴权的方法,该方法可以包括:移动管理设备在接收终端设备发送的请求消息后,向家乡用户服务器发送鉴权向量请求消息,所述移动管理设备接收所述家乡用户服务器发送的鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量,其中,所述鉴权向量请求消息中包含所述终端设备的接入类型。
通过上述方法,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
在一个可能的设计中,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。这样,可以使家乡用户服务器根据所述接入类型确定需要为所述终端设备返回的安全向量。
在一个可能的设计中,当所述鉴权向量响应消息中包含所述4G安全向量时,所述移动管理设备向所述终端设备发送请求拒绝消息,所述请求拒绝消息中包含原因值,所述原因值用于指示所述终端设备接入4G网络。
通过上述方法,可以指示所述终端设备回落到4G网络。
在一个可能的设计中,当所述鉴权向量响应消息中包含所述5G安全向量时,所述移动管理设备根据所述5G安全向量对所述终端设备进行鉴权处理。这样可以保证终端设备的安全性。
在一个可能的设计中,所述移动管理设备根据所述5G安全向量对所述终端设备进行鉴权处理,具体方法可以为:所述移动管理设备根据所述5G安全向量中的期望响应XRES*生成哈希期望响应HXRES*,以及根据所述5G安全向量中的鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF;所述移动管理设备向所述终端设备发送鉴权请求消息,所述鉴权请求消息中包含所述5G安全向量中的随机数RAND和鉴权令牌AUTN;所述移动管理设备接收所述终端设备发送的鉴权响应消息,所述鉴权响应消息中包含鉴权响应RES*;所述移动管理设备根据所述RES*得到哈希响应HRES*,并将HRES*和HXRES*进行比较,若相同,则确定对所述终端设备的鉴权通过。
通过上述方法,所述移动管理设备可以准确地对所述终端设备进行鉴权,以保证终端设备的安全性。
在一个可能的设计中,所述移动管理设备向所述家乡用户服务器发送位置更新请求消息,所述位置更新请求消息中包含所述接入类型;所述移动管理设备接收所述家乡用户服务器发送的位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
通过上述方法,可以使所述终端设备的信息更新,以使所述终端设备的信息更准确,可以使后续业务准确进行。
第二方面,本申请提供了一种鉴权的方法,该方法可以包括:家乡用户服务器接收移动管理设备发送的鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;所述家乡用户服务器向所述移动管理设备发送鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
通过上述方法,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
在一个可能的设计中,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。这样,可以使家乡用户服务器根据所述接入类型确定需要为所述终端设备返回的安全向量。
在一个可能的设计中,当所述家乡用户服务器根据所述接入类型,获知所述终端设备为5G用户时,所述鉴权向量响应消息中包含所述5G安全向量;或者,当所述家乡用户服务器不认识所述接入类型时,所述鉴权向量响应消息中包含所述4G安全向量。
通过上述方法,可以使移动管理设备根据接收到的鉴权向量响应消息中包含的内容而准确进行后续操作。
在一个可能的设计中,当所述鉴权向量响应消息中包含5G安全向量时,所述家乡用户服务器接收所述移动管理设备发送的位置更新请求消息,所述位置更新请求消息中包含所述接入类型;所述家乡用户服务器向所述移动管理设备发送位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
通过上述方法,可以使所述终端设备的信息更新,以使所述终端设备的信息更准确,可以使后续业务准确进行。
第三方面,本申请还提供了一种移动管理设备,所述移动管理设备具有实现上述第一方面方法实例中移动管理设备的功能。功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,所述移动管理设备的结构中包括处理单元和通信单元,这些单元可以执行上述第一方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
在一个可能的设计中,所述移动管理设备的结构中包括通信接口和处理器,可选的还可以包括存储器,通信接口用于收发数据(信息或信号等),以及与通信系统中的其他设备进行通信交互,处理器被配置为支持移动管理设备执行上述第一方面方法中移动管理设备相应的功能。存储器与处理器耦合,其保存移动管理设备必要的程序指令和数据。
第四方面,本申请还提供了一种家乡用户服务器,所述家乡用户服务器具有实现上述第二方面方法实例中家乡用户服务器的功能。功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,所述家乡用户服务器的结构中包括处理单元和通信单元,这些单元可以执行上述第二方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
在一个可能的设计中,所述家乡用户服务器的结构中包括通信接口和处理器,可选的还可以包括存储器,通信接口用于收发数据(信息或信号等),以及与通信系统中的其他设备进行通信交互,处理器被配置为支持家乡用户服务器执行上述第二方面方法中家乡用户服务器相应的功能。存储器与处理器耦合,其保存家乡用户服务器必要的程序指令和数据。
第五方面,本申请还提供了一种通信系统,所述通信系统至少包括上述设计中提及的移动管理设备和家乡用户服务器。进一步地,所述通信系统中的所述移动管理设备可以执行上述方法中移动管理设备执行的任一种方法,以及所述通信系统中的所述家乡用户服务器可以执行上述方法中家乡用户服务器执行的任一种方法。
第六方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令在被所述计算机调用时用于使所述计算机执行上述第一方面或第一方面的任意一种可能的设计、第二方面或第二方面的任意一种可能的设计中的任一种方法。
第七方面,本申请提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面或第一方面的任意一种可能的设计、第二方面或第二方面的任意一种可能的设计中的任一种方法。
第八方面,本申请提供了一种芯片,所述芯片与存储器耦合,用于读取并执行所述存储器中存储的程序指令,以实现上述第一方面或第一方面的任意一种可能的设计、第二方面或第二方面的任意一种可能的设计中的任一种方法。
附图说明
图1为现有技术中的一种5G网络的架构图;
图2a为本申请提供的一种通信系统的架构图;
图2b为一种4G NSA架构图;
图3为本申请提供的一种鉴权的方法的流程图;
图4为本申请提供的一种鉴权的方法的示例的流程图;
图5为本申请提供的另一种鉴权的方法的示例的流程图;
图6为本申请提供的一种移动管理设备的结构示意图;
图7为本申请提供的一种家乡用户服务器的结构示意图;
图8为本申请提供的一种移动管理设备的结构图;
图9为本申请提供的一种家乡用户服务器的结构图。
具体实施方式
下面将结合附图对本申请作进一步地详细描述。
本申请实施例提供一种鉴权的方法及装置,用以实现通过5G技术接入4G网络中对终端设备的鉴权,保证终端设备的安全性。其中,本申请所述方法和装置基于同一发明构思,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
为了更加清晰地描述本申请实施例的技术方案,下面结合附图,对本申请实施例提供的鉴权的方法及装置进行详细说明。
图1示出了现有技术中的一种5G网络的架构,所述5G网络的架构中包括网络切片选择功能(network slice selection function,NSSF)设备、网络开放功能(networkexposure function, NEF)设备、网络功能库功能((network function,NF)repositoryfunction,NRF)设备、策略控制功能(policy control function,PCF)设备、统一数据管理(unified data management, UDM)设备、应用功能(application function,AF)设备、鉴权服务器功能(authentication server function,AUSF)设备、接入和移动性管理功能(access and mobility management function, AMF)设备、会话管理功能(sessionmanagement function,SMF)设备、服务通信代理SCP、终端设备(又称为用户设备(userequipment,UE))、无线接入网(radio access network,RAN)设备、用户面功能(user planefunction,UPF)和数据网络(data network,DN)。
在现有的5G网络中终端设备通过N1接口,接入网络通过N2接口接入接入和移动性管理功能设备,核心网基于服务化架构实现。
由于5G网络采用大量新的技术,比如服务化框架,超文本传输协议(hyperTexttransfer protocol,HTTP)或者传输安全协议(transport layer security,TLS)等,这些技术在移动通信网络内没有应用过,目前还不够成熟。另外,运营商为5G网络需要投资建设新的基础设施,投资成本较大,这样导致5G网络应用受限。基于此,本申请基于5G网络和第四代(4th generation,4G)网络的兼容出发,提出可以使终端设备和接入网络通过N1或N2接口接入演进的分组核心网络(evolved packet core,EPC),在重用EPC网络基础设施的情况下,支持5G原生接入。在本申请中,可以实现通过5G技术接入4G网络时对终端设备的鉴权,以保证终端设备的安全性。
基于上述描述,本申请提供了一种可能的通信系统的架构,所述通信系统的架构为本申请实施例提供的鉴权的方法适用的一种可能的通信系统的架构,如图2a所示,所述通信系统的架构中可以包括终端设备、接入网络、移动管理设备、家乡用户服务器、服务网关、数据网关和报文数据网络,其中:
终端设备,又可以称之为用户设备(user equipment,UE)、移动台(mobilestation, MS)、移动终端(mobile terminal,MT)等,是一种向用户提供语音和/或数据连通性的设备。例如,所述终端设备可以包括具有无线连接功能的手持式设备、车载设备等。目前,所述终端设备可以是:手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device,MID)、可穿戴设备,虚拟现实(virtual reality,VR)设备、增强现实(augmented reality,AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端,或智慧家庭(smart home)中的无线终端等。
终端设备通过本地的无线接入网络接入。
移动管理设备负责移动用户设备的位置管理、连接管理、安全认证、网关选择等功能。
服务网关是终端设备的本地接入网关,负责接入技术相关的连接管理和数据转发。
数据网关是终端设备访问外部数据网络的网关。
家乡用户服务器负责终端设备的签约数据管理,鉴权向量生成等。
其中,EPC网络也可以为控制面和用户面分离的网络,即服务网关和数据网关的控制面和用户面分离,分为用户面的服务网关,控制面的服务网关,用户面的数据网关和控制面的数据网关。控制面的服务网关负责接入技术相关的连接管理和数据转发控制,用户面的服务网关负责数据转发。控制面的数据网关负责数据转发控制,用户面的数据网关负责数据转发。其中控制面的服务网关可以和控制面的数据网关合一部署,用户面的服务网关也可以和用户面的数据网关合一部署。
实际中,所述终端设备可以是5G终端;对于演进的通用陆地无线接入网(evolveduniversal terrestrial radio access network,evolved E-UTRAN)、新无线(new radio,NR)接入网中,接入设备可以为下一代演进型基站(next generation evolved NodeB,ng-eNB)或者 5G移动通信系统中的下一代基站(next generation NodeB,gNB),核心网为EPC网络的网元,移动管理设备可以是移动性管理实体(mobility management entity,MME),服务网关可以是服务网关(serving gateway,S-GW),数据网关可以是报文数据网络网关(packet data network gateway,PDN-GW),家乡用户服务器可以是家乡用户服务器(homesubscriber server, HSS)。针对控制面和用户面分离的网络,服务网关可以是用户面的服务网关(serving gateway user plane,SGW-U)和控制面的服务网关(serving gatewaycontrol plane,SGW-C),数据网关可以是用户面的数据网关(packet data networkgateway user plane,PGW-U)和控制面的数据网关(packet data network gatewaycontrol plane,PGW-C)。移动管理设备、服务网关和数据网关可以在现有EPC网络的基础上,进行一定的增强,以支持5G终端设备的原生接入。
需要说明的是,当移动管理设备和家乡用户服务器进行了增强时,移动管理设备可以称为增强移动管理设备,家乡用户服务器可以称为增强家乡用户服务器。
如图2b所示的4G非独立组网架构(non standalone architecture,NSA)中终端设备为 4G终端设备,通过4G NAS接入移动管理设备,主接入网络通过4G S1接口接入移动管理设备。终端设备的用户面数据包可以同时通过主接入网络和第二接入网络转发,其中主接入网络是对于E-UTRAN,对应的接入设备为演进型基站(evolved NodeB,eNodeB),第二接入网络是对于evolved E-UTRAN或者NR接入网,对应的接入设备为ng-eNB或者gNB。通过第二接入网络提供的高带宽使得4G终端设备可以享受媲美5G网络的业务体验。但是 NSA架构需要部署主接入网络和第二接入网络,适用于局部热点部署,全网部署代价高。因此,采用本申请提供的图2a所示的网络可以避免上述问题,灵活实现通过5G技术接入 4G网络。
本申请实施例提供的一种鉴权的方法,适用于如图2a所示的通信系统。参阅图3所示,该方法的具体流程可以包括:
步骤301、终端设备向移动管理设备发送请求消息。
具体的,在不同的通信过程中,所述请求消息可能不同。例如,在所述终端设备的注册流程中,所述请求消息可以为注册请求消息;又例如,所述请求消息还可以为所述终端设备在服务请求流程中的服务请求消息等。当然,对所述终端设备的鉴权流程还可以单独存在,此时所述请求消息为单独触发的鉴权流程中的请求消息,本申请对此不作限定。
示例性的,所述终端设备向所述移动管理设备发送所述请求消息时,具体可以为所述终端通过接入设备向所述移动管理设备,也即,所述终端设备向所述接入设备发送所述请求消息,所述接入设备向所述移动管理设备转发所述请求消息。
在一种可选的实施方式中,所述终端设备通过5G非接入层协议向所述移动管理设备发送所述请求消息。
在此实施例中,所述移动管理设备为对现有的移动管理设备进行了增强的增强移动管理设备。
步骤302、所述移动管理设备向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型。
在一种可选的实施方式中,所述移动管理设备通过Diameter协议向所述家乡用户服务器发送所述鉴权向量请求消息。
示例性的,所述接入类型可以为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;其中,所述接入设备的类型为演进型基站eNB 类型或者下一代基站gNB类型;所述无线接入网络的类型为新无线NR类型或者演进的通用陆地无线接入网Evolved E-UTRAN类型;所述终端设备的类型为5G类型。
步骤303、所述家乡用户服务器向所述移动管理设备发送鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
具体的,当所述家乡用户服务器根据所述接入类型,获知所述终端设备为5G用户时,所述鉴权向量响应消息中包含所述5G安全向量;在此情况中,所述家乡用户服务器为增强家乡用户服务器。当所述家乡用户服务器不认识所述接入类型时,所述鉴权向量响应消息中包含所述4G安全向量;在此情况中,家乡用户服务器因为不认识所述接入类型,会忽略所述接入类型,而返回4G安全向量。
进一步的,当所述家乡用户服务器不支持为所述5G用户提供安全向量时,所述家乡用户服务器也可以拒绝所述鉴权向量请求消息,回复鉴权向量响应消息给移动管理设备,所述鉴权向量响应消息中包含拒绝的原因值。
示例性的,所述5G安全向量可以为随机数RAND、鉴权令牌(authenticationtoken, AUTN)、期望响应XRES*、鉴权服务功能密钥KAUSF的四元组;所述4G安全向量可以为RAND,期望响应(expected response,XRES),KASME和AUTN的四元组。
在一种具体的示例中,当所述鉴权向量响应消息中包含所述5G安全向量时,所述移动管理设备根据所述5G安全向量对所述终端设备进行鉴权处理。
在一种可选的实施方式中,所述移动管理设备根据所述5G安全向量对所述终端设备进行鉴权处理,具体方法可以为:所述移动管理设备根据所述5G安全向量中的XRES*生成哈希期望响应HXRES*,以及根据所述5G安全向量中的KAUSF生成安全锚点功能密钥KSEAF;所述移动管理设备向所述终端设备发送鉴权请求消息,所述鉴权请求消息中包含所述5G安全向量中的RAND和AUTN;所述移动管理设备接收所述终端设备发送的鉴权响应消息,所述鉴权响应消息中包含鉴权响应RES*;所述移动管理设备根据所述RES*得到哈希响应 HRES*,并将HRES*和HXRES*进行比较,若相同,则确定对所述终端设备的鉴权通过。
其中,所述终端设备在接收到所述移动管理设备发送的鉴权请求消息后,先验证所述鉴权请求消息中包含的RAND和AUTN,在验证通过后向所述移动管理设备发送所述鉴权响应消息。
进一步地,当所述鉴权向量响应消息中包含5G安全向量时,在所述移动管理设备对所述终端设备的鉴权通过后,所述移动管理设备向所述家乡用户服务器发送位置更新请求消息,所述位置更新请求消息中包含所述接入类型;所述移动管理设备接收所述家乡用户服务器发送的位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
具体的,所述家乡用户服务器根据所述接入类型获知所述终端设备为5G用户时,所述家乡用户服务器向所述移动管理设备发送所述位置更新响应消息。
此外,所述移动管理设备向所述家乡用户服务器发送所述位置更新请求消息时,还用与注册所述移动管理设备的信息。
示例性的,所述移动管理设备通过Diameter协议向所述家乡用户服务器发送所述位置更新请求消息。
在另一种具体的示例中,当所述鉴权向量响应消息中包含所述4G安全向量时,所述移动管理设备向所述终端设备发送请求拒绝消息,所述请求拒绝消息中包含原因值,所述原因值用于指示所述终端设备接入4G网络。具体的,当所述移动管理设备接收到所述鉴权向量响应消息后,发现所述鉴权向量响应消息中包含所述4G安全向量时,则获知所述家乡用户服务器不支持5G安全功能,会向所述终端设备发送所述请求拒绝消息,通过所述请求拒绝消息中的原因值来指示所述终端设备回落到4G网络进行业务。
在另一种具体的示例中,当家乡用户服务器拒绝所述鉴权向量请求消息时,所述移动管理设备向所述终端设备发送请求拒绝消息,所述请求拒绝消息中包含原因值,所述原因值用于指示所述终端设备接入4G网络。具体的,当所述移动管理设备接收到包含拒绝的原因值的鉴权向量响应消息时,则获知所述家乡用户服务器不支持5G安全功能,会向所述终端设备发送所述请求拒绝消息,通过所述请求拒绝消息中的原因值来指示所述终端设备回落到4G网络进行业务。
例如,所述原因值可以为N1接口不允许(#27N1mode not allowed)的原因值,或者其他用于此目的的原因值等等。
采用本申请实施例提供的鉴权的方法,移动管理设备在接收终端设备发送的请求消息后,向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;所述移动管理设备接收所述家乡用户服务器发送的鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。通过上述方法,可以实现通过 5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
基于以上实施例,本申请实施例提供了一种鉴权的方法的示例,在该示例中,对终端设备的鉴权发生在终端设备的注册流程中。具体的,终端设备的注册流程可以是终端设备注册到网络,当终端设备开机时触发初始注册流程接入网络,或者终端设备移动时,触发移动注册流程,或者终端设备空闲态一段时间时触发周期性注册流程,本申请对此不作限定。在该示例中,移动管理设备为增强移动管理设备,家乡用户服务器为增强家乡用户服务器,在该示例中以增强移动管理设备和增强家乡用户服务器示出。参阅图4所示,该示例的具体流程可以包括:
步骤401、终端设备通过接入设备向增强移动管理设备发送请求消息,其中,所述请求消息为注册请求消息。
具体的,所述终端设备可以通过5G非接入层协议向增强移动管理设备发送请求消息。
步骤402、所述增强移动管理设备向增强家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型。
具体的,所述增强移动管理设备通过Diameter协议向增强家乡用户服务器发送鉴权向量请求消息。
其中,所述接入类型的描述可以参见图3所示的是实施例中涉及的接入类型的描述,此处不再重复赘述。
步骤403、所述增强家乡用户服务器向所述增强移动管理设备发送鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量。
具体的,所述增强家乡用户服务器通过Diameter协议向所述增强移动管理设备发送鉴权向量响应消息。
其中,所述5G安全向量可以为RAND、AUTN、XRES*、KAUSF的四元组。
步骤404、所述增强移动管理设备根据所述5G安全向量中的XRES*生成HXRES*,以及根据所述5G安全向量中的KAUSF生成KSEAF
步骤405、所述增强移动管理设备向所述终端设备发送鉴权请求消息,所述鉴权请求消息中包含所述5G安全向量中的RAND和AUTN。
具体的,所述增强移动管理设备通过接入设备向所述终端设备发送所述鉴权请求消息。
具体的,所述增强移动管理设备可以通过5G非接入层协议向所述终端设备发送所述鉴权请求消息。
步骤406、所述终端设备验证收到的RAND和AUTN,验证通过后,向所述增强移动管理设备发送鉴权响应消息,所述鉴权响应消息中包含RES*。
具体的,所述终端设备通过所述接入设备向所述增强移动管理设备发送鉴权响应消息。
步骤407、所述增强移动管理设备根据所述RES*得到HRES*,并将HRES*和HXRES*进行比较,若相同,则确定对所述终端设备的鉴权通过。
步骤408、所述增强移动管理设备向所述增强家乡用户服务器发送位置更新请求消息,所述位置更新请求消息中包含所述接入类型。
步骤409、所述增强家乡用户服务器向所述增强移动管理设备发送位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
可选的,所述签约数据为5G签约数据。
步骤410、所述增强移动管理设备向所述终端设备发送注册响应消息,所述注册响应消息用于指示注册流程成功完成。
具体的,所述增强移动管理网元通过所述接入设备向所述终端设备发送注册响应消息。
步骤411、所述终端设备向所述增强移动管理设备发送注册完成消息。
具体的,所述终端设备通过所述接入设备向所述增强移动管理设备发送注册完成消息。
通过上述示例,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
基于以上实施例,本申请实施例提供了另一种鉴权的方法的示例,在该示例中,对终端设备的鉴权发生在终端设备的注册流程中。具体的,终端设备的注册流程可以是终端设备注册到网络,当终端设备开机时触发初始注册流程接入网络,或者终端设备移动时,触发移动注册流程,或者终端设备空闲态一段时间时触发周期性注册流程,本申请对此不作限定。在该示例中,移动管理设备为增强移动管理设备,家乡用户服务器为普通的家乡用户服务器,不支持增强功能。例如,在终端设备漫游的场景,终端设备所在地移动管理设备已经支持增强功能,而终端设备的归属地的家乡用户服务器不支持增强功能。在该示例中以增强移动管理设备示出。参阅图5所示,该示例的具体流程可以包括:
步骤501、终端设备通过接入设备向增强移动管理设备发送请求消息,其中,所述请求消息为注册请求消息。
具体的,所述终端设备可以通过5G非接入层协议向增强移动管理设备发送请求消息。
步骤502、所述增强移动管理设备向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型。
具体的,所述增强移动管理设备通过Diameter协议向家乡用户服务器发送鉴权向量请求消息。
其中,所述接入类型的描述可以参见图3所示的是实施例中涉及的接入类型的描述,此处不再重复赘述。
步骤503、所述家乡用户服务器向所述增强移动管理设备发送鉴权向量响应消息,所述鉴权向量响应消息中包含4G安全向量。
或者,所述家乡用户服务器拒绝所述鉴权向量请求消息,回复鉴权向量响应消息,所述消息中包含拒绝的原因值。
具体的,所述家乡用户服务器通过Diameter协议向所述增强移动管理设备发送鉴权向量响应消息。
其中,所述4G安全向量可以为RAND,XRES,KASME和AUTN的四元组。
步骤504、所述增强移动管理设备向所述终端设备发送请求拒绝消息,所述请求拒绝消息中包含原因值,所述原因值用于指示所述终端设备接入4G网络。在该示例中,所述请求拒绝消息为注册拒绝消息。
具体的,所述增强移动管理设备通过接入设备向所述终端设备发送所述请求拒绝消息。
具体的,所述增强移动管理设备通过5G非接入层协议向所述终端设备发送所述请求拒绝消息。
通过上述示例,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
基于以上实施例,本申请实施例还提供了一种移动管理设备,该移动管理设备应用于如图2a所示的通信系统,用于实现如图3、图4或图5所示的鉴权的方法。参阅图6所示,该移动管理设备600包括:通信单元601和处理单元602,其中:
所述通信单元601用于收发信息;
所述处理单元602,用于控制所述通信单元601在接收终端设备发送的请求消息后,控制所述通信单元601向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;控制所述通信单元601接收所述家乡用户服务器发送的鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
示例性的,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。
在一种可能的实施方式中,当所述鉴权向量响应消息中包含所述4G安全向量时,所述处理单元602还用于:控制所述通信单元601向所述终端设备发送请求拒绝消息,所述请求拒绝消息中包含原因值,所述原因值用于指示所述终端设备接入4G网络。
在另一种可能的实施方式中,当所述鉴权向量响应消息中包含所述5G安全向量时,所述处理单元602还用于:根据所述5G安全向量对所述终端设备进行鉴权处理。
具体的,所述处理单元602,在根据所述5G安全向量对所述终端设备进行鉴权处理时,具体用于:根据所述5G安全向量中的期望响应XRES*生成哈希期望响应HXRES*,以及根据所述5G安全向量中的鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF;控制所述通信单元601向所述终端设备发送鉴权请求消息,所述鉴权请求消息中包含所述5G安全向量中的随机数RAND和鉴权令牌AUTN;控制所述通信单元601接收所述终端设备发送的鉴权响应消息,所述鉴权响应消息中包含鉴权响应RES*;根据所述RES*得到哈希响应 HRES*,并将HRES*和HXRES*进行比较,若相同,则确定对所述终端设备的鉴权通过。
一种可选的实施方式中,所述处理单元602还用于:控制所述通信单元601向所述家乡用户服务器发送位置更新请求消息,所述位置更新请求消息中包含所述接入类型;控制所述通信单元601接收所述家乡用户服务器发送的位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
采用本申请实施例移动管理设备,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
基于以上实施例,本申请实施例还提供了一种家乡用户服务器,该家乡用户服务器应用于如图2a所示的通信系统,用于实现如图3、图4或图5所示的鉴权的方法。参阅图7所示,该家乡用户服务器700包括:通信单元701和处理单元702,其中:
所述通信单元701用于收发信息;
所述处理单元702用于控制所述通信单元701接收移动管理设备发送的鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;控制所述通信单元701向所述移动管理设备发送鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者 4G安全向量。
示例性的,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。
在一种具体的示例中,所述处理单元702还用于:根据所述接入类型,获知所述终端设备为5G用户,或者确定不认识所述接入类型;当所述处理单元702根据所述接入类型,获知所述终端设备为5G用户时,所述鉴权向量响应消息中包含所述5G安全向量;或者,当所述处理单元702不认识所述接入类型时,所述鉴权向量响应消息中包含所述4G安全向量。
具体的,当所述鉴权向量响应消息中包含5G安全向量时,所述处理单元702还用于:控制所述通信单元701接收所述移动管理设备发送的位置更新请求消息,所述位置更新请求消息中包含所述接入类型;控制所述通信单元701向所述移动管理设备发送位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
采用本申请实施例家乡用户服务器,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。在本申请的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
基于以上实施例,本申请实施例还提供了一种移动管理设备,所述移动管理设备应用于如图2a所示的通信系统,用于实现如图3、图4或图5所示的鉴权的方法。参阅图8所示,所述移动管理设备800可以包括:通信接口801和处理器802,可选的还可以包括存储器803。其中,所述处理器802可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合等等。所述处理器802还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integratedcircuit, ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列 (field-programmable gate array,FPGA),通用阵列逻辑(generic arraylogic,GAL)或其任意组合。所述处理器802在实现上述功能时,可以通过硬件实现,当然也可以通过硬件执行相应的软件实现。
所述通信接口801和所述处理器802之间相互连接。可选的,所述通信接口801和所述处理器802通过总线804相互连接;所述总线804可以是外设部件互连标准(PeripheralComponent Interconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述存储器803,与所述处理器802耦合,用于存放所述SRS的传输装置800必要的程序等。例如,程序可以包括程序代码,该程序代码包括计算机操作指令。所述存储器803可能包括RAM,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。所述处理器802执行所述存储器803所存放的应用程序,实现所述移动管理设备800的功能。
具体的,所述移动管理设备800在实现图3、图4或图5所示的鉴权的方法时:
通信接口801,用于收发信息;
处理器802,用于控制所述通信接口801在接收终端设备发送的请求消息后,控制所述通信接口801向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;
控制所述通信接口801接收所述家乡用户服务器发送的鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
示例性的,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。
在一种可能的示例中,当所述鉴权向量响应消息中包含所述4G安全向量时,所述处理器802还用于:控制所述通信接口801向所述终端设备发送请求拒绝消息,所述请求拒绝消息中包含原因值,所述原因值用于指示所述终端设备接入4G网络。
在另一种可能的示例中,当所述鉴权向量响应消息中包含所述5G安全向量时,所述处理器802还用于:根据所述5G安全向量对所述终端设备进行鉴权处理。
具体的,所述处理器802,在根据所述5G安全向量对所述终端设备进行鉴权处理时,具体用于:根据所述5G安全向量中的期望响应XRES*生成哈希期望响应HXRES*,以及根据所述5G安全向量中的鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF;控制所述通信接口801向所述终端设备发送鉴权请求消息,所述鉴权请求消息中包含所述5G安全向量中的随机数RAND和鉴权令牌AUTN;控制所述通信接口801接收所述终端设备发送的鉴权响应消息,所述鉴权响应消息中包含鉴权响应RES*;根据所述RES*得到哈希响应HRES*,并将HRES*和HXRES*进行比较,若相同,则确定对所述终端设备的鉴权通过。
一种可选的实施方式中,所述处理器802还用于:控制所述通信接口801向所述家乡用户服务器发送位置更新请求消息,所述位置更新请求消息中包含所述接入类型;控制所述通信接口801接收所述家乡用户服务器发送的位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
采用本申请实施例提供的移动管理设备,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
基于以上实施例,本申请实施例还提供了一种家乡用户服务器,所述家乡用户服务器应用于如图2a所示的通信系统,用于实现如图3、图4或图5所示的鉴权的方法。参阅图9所示,所述家乡用户服务器900可以包括:通信接口901和处理器902,可选的还可以包括存储器903。其中,所述处理器902可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合等等。所述处理器902还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integratedcircuit, ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列 (field-programmable gate array,FPGA),通用阵列逻辑(generic arraylogic,GAL)或其任意组合。所述处理器902在实现上述功能时,可以通过硬件实现,当然也可以通过硬件执行相应的软件实现。
所述通信接口901和所述处理器902之间相互连接。可选的,所述通信接口901和所述处理器902通过总线904相互连接;所述总线904可以是外设部件互连标准(PeripheralComponent Interconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述存储器903,与所述处理器902耦合,用于存放所述SRS的传输装置900必要的程序等。例如,程序可以包括程序代码,该程序代码包括计算机操作指令。所述存储器903可能包括RAM,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。所述处理器902执行所述存储器903所存放的应用程序,实现所述家乡用户服务器900的功能。
具体的,所述家乡用户服务器900在实现图3、图4或图5所示的鉴权的方法时:
通信接口901用于收发信息;
处理器902用于控制所述通信接口901接收移动管理设备发送的鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;控制所述通信接口901向所述移动管理设备发送鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
具体的,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。
一种可选的实施方式中,所述处理器902还用于:根据所述接入类型,获知所述终端设备为5G用户,或者确定不认识所述接入类型;当所述处理器902根据所述接入类型,获知所述终端设备为5G用户时,所述鉴权向量响应消息中包含所述5G安全向量;或者,当所述处理器902不认识所述接入类型时,所述鉴权向量响应消息中包含所述4G安全向量。
示例性的,当所述鉴权向量响应消息中包含5G安全向量时,所述处理器902还用于:控制所述通信接口901接收所述移动管理设备发送的位置更新请求消息,所述位置更新请求消息中包含所述接入类型;控制所述通信接口901向所述移动管理设备发送位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
采用本申请实施例家乡用户服务器,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
综上所述,通过本申请实施例提供一种鉴权的方法及装置,该方法为:移动管理设备在接收终端设备发送的请求消息后,向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;所述移动管理设备接收所述家乡用户服务器发送的鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。通过上述方法,可以实现通过5G技术接入4G网络的过程中对终端设备的鉴权,以保证终端设备的安全性。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (23)

1.一种鉴权的方法,其特征在于,包括:
移动管理设备在接收终端设备发送的请求消息后,向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;
所述移动管理设备接收所述家乡用户服务器发送的鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
2.如权利要求1所述的方法,其特征在于,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;
其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。
3.如权利要求1或2所述的方法,其特征在于,当所述鉴权向量响应消息中包含所述4G安全向量时,所述方法还包括:
所述移动管理设备向所述终端设备发送请求拒绝消息,所述请求拒绝消息中包含原因值,所述原因值用于指示所述终端设备接入4G网络。
4.如权利要求1或2所述的方法,其特征在于,当所述鉴权向量响应消息中包含所述5G安全向量时,所述方法还包括:
所述移动管理设备根据所述5G安全向量对所述终端设备进行鉴权处理。
5.如权利要求4所述的方法,其特征在于,所述移动管理设备根据所述5G安全向量对所述终端设备进行鉴权处理,包括:
所述移动管理设备根据所述5G安全向量中的期望响应XRES*生成哈希期望响应HXRES*,以及根据所述5G安全向量中的鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF
所述移动管理设备向所述终端设备发送鉴权请求消息,所述鉴权请求消息中包含所述5G安全向量中的随机数RAND和鉴权令牌AUTN;
所述移动管理设备接收所述终端设备发送的鉴权响应消息,所述鉴权响应消息中包含鉴权响应RES*;
所述移动管理设备根据所述RES*得到哈希响应HRES*,并将HRES*和HXRES*进行比较,若相同,则确定对所述终端设备的鉴权通过。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
所述移动管理设备向所述家乡用户服务器发送位置更新请求消息,所述位置更新请求消息中包含所述接入类型;
所述移动管理设备接收所述家乡用户服务器发送的位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
7.一种鉴权的方法,其特征在于,包括:
家乡用户服务器接收移动管理设备发送的鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;
所述家乡用户服务器向所述移动管理设备发送鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
8.如权利要求7所述的方法,其特征在于,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;
其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。
9.如权利要求7或8所述的方法,其特征在于,
当所述家乡用户服务器根据所述接入类型,获知所述终端设备为5G用户时,所述鉴权向量响应消息中包含所述5G安全向量;或者
当所述家乡用户服务器不认识所述接入类型时,所述鉴权向量响应消息中包含所述4G安全向量。
10.如权利要求7至9任一项所述的方法,其特征在于,当所述鉴权向量响应消息中包含5G安全向量时,所述方法还包括:
所述家乡用户服务器接收所述移动管理设备发送的位置更新请求消息,所述位置更新请求消息中包含所述接入类型;
所述家乡用户服务器向所述移动管理设备发送位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
11.一种移动管理设备,其特征在于,包括:
通信接口,用于收发信息;
处理器,用于控制所述通信接口在接收终端设备发送的请求消息后,控制所述通信接口向家乡用户服务器发送鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;
控制所述通信接口接收所述家乡用户服务器发送的鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
12.如权利要求11所述的移动管理设备,其特征在于,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;
其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。
13.如权利要求11或12所述的移动管理设备,其特征在于,当所述鉴权向量响应消息中包含所述4G安全向量时,所述处理器还用于:
控制所述通信接口向所述终端设备发送请求拒绝消息,所述请求拒绝消息中包含原因值,所述原因值用于指示所述终端设备接入4G网络。
14.如权利要求11或12所述的移动管理设备,其特征在于,当所述鉴权向量响应消息中包含所述5G安全向量时,所述处理器还用于:
根据所述5G安全向量对所述终端设备进行鉴权处理。
15.如权利要求14所述的移动管理设备,其特征在于,所述处理器,在根据所述5G安全向量对所述终端设备进行鉴权处理时,具体用于:
根据所述5G安全向量中的期望响应XRES*生成哈希期望响应HXRES*,以及根据所述5G安全向量中的鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF
控制所述通信接口向所述终端设备发送鉴权请求消息,所述鉴权请求消息中包含所述5G安全向量中的随机数RAND和鉴权令牌AUTN;
控制所述通信接口接收所述终端设备发送的鉴权响应消息,所述鉴权响应消息中包含鉴权响应RES*;
根据所述RES*得到哈希响应HRES*,并将HRES*和HXRES*进行比较,若相同,则确定对所述终端设备的鉴权通过。
16.如权利要求15所述的移动管理设备,其特征在于,所述处理器还用于:
控制所述通信接口向所述家乡用户服务器发送位置更新请求消息,所述位置更新请求消息中包含所述接入类型;
控制所述通信接口接收所述家乡用户服务器发送的位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
17.一种家乡用户服务器,其特征在于,包括:
通信接口,用于收发信息;
处理器,用于控制所述通信接口接收移动管理设备发送的鉴权向量请求消息,所述鉴权向量请求消息中包含所述终端设备的接入类型;
控制所述通信接口向所述移动管理设备发送鉴权向量响应消息,所述鉴权向量响应消息中包含5G安全向量或者4G安全向量。
18.如权利要求17所述的家乡用户服务器,其特征在于,所述接入类型为所述终端设备接入的接入设备的类型,或者为无线接入网络的类型,或者为所述终端设备的类型;
其中,所述接入设备的类型为演进型基站类型或者下一代基站类型;所述无线接入网络的类型为新无线类型或者演进的通用陆地无线接入网类型;所述终端设备的类型为5G类型。
19.如权利要求17或18所述的家乡用户服务器,其特征在于,所述处理器,还用于:
根据所述接入类型,获知所述终端设备为5G用户,或者确定不认识所述接入类型;
当所述处理器根据所述接入类型,获知所述终端设备为5G用户时,所述鉴权向量响应消息中包含所述5G安全向量;或者
当所述处理器不认识所述接入类型时,所述鉴权向量响应消息中包含所述4G安全向量。
20.如权利要求17至19任一项所述的家乡用户服务器,其特征在于,当所述鉴权向量响应消息中包含5G安全向量时,所述处理器还用于:
控制所述通信接口接收所述移动管理设备发送的位置更新请求消息,所述位置更新请求消息中包含所述接入类型;
控制所述通信接口向所述移动管理设备发送位置更新响应消息,所述位置更新响应消息中包含所述终端设备的签约数据。
21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令在被所述计算机调用时用于使所述计算机执行上述权利要求1-10中任一项所述的方法。
22.一种包含指令的计算机程序产品,其特征在于,当其在计算机上运行时,使得计算机执行上述权利要求1-10中任一项所述的方法。
23.一种芯片,其特征在于,所述芯片与存储器耦合,用于读取并执行所述存储器中存储的程序指令,以实现如权利要求1-10任一项所述的方法。
CN201910849404.0A 2019-09-09 2019-09-09 一种鉴权的方法及装置 Active CN112469043B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910849404.0A CN112469043B (zh) 2019-09-09 2019-09-09 一种鉴权的方法及装置
PCT/CN2020/113836 WO2021047481A1 (zh) 2019-09-09 2020-09-07 一种鉴权的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910849404.0A CN112469043B (zh) 2019-09-09 2019-09-09 一种鉴权的方法及装置

Publications (2)

Publication Number Publication Date
CN112469043A true CN112469043A (zh) 2021-03-09
CN112469043B CN112469043B (zh) 2022-10-28

Family

ID=74807456

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910849404.0A Active CN112469043B (zh) 2019-09-09 2019-09-09 一种鉴权的方法及装置

Country Status (2)

Country Link
CN (1) CN112469043B (zh)
WO (1) WO2021047481A1 (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070155365A1 (en) * 2005-12-29 2007-07-05 Sung-Jun Kim Securing quality of service (QoS) according to type of wireless local area network (WLAN) service
CN102917332A (zh) * 2012-10-11 2013-02-06 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
CN103313239A (zh) * 2012-03-06 2013-09-18 中兴通讯股份有限公司 一种用户设备接入融合核心网的方法及系统
CN105813079A (zh) * 2016-05-17 2016-07-27 工业和信息化部电信研究院 一种终端接入方法
WO2017092813A1 (en) * 2015-12-03 2017-06-08 Telefonaktiebolaget Lm Ericsson (Publ) Multi-rat access stratum security
CN107005842A (zh) * 2014-12-02 2017-08-01 华为技术有限公司 一种无线通信网络中的鉴权方法、相关装置及系统
CN107113610A (zh) * 2014-12-02 2017-08-29 华为技术有限公司 一种无线通信网络中的鉴权方法、相关装置及系统
CN108781366A (zh) * 2016-03-10 2018-11-09 华为技术有限公司 用于5g技术的认证机制
CN108848502A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种利用5g-aka对supi进行保护的方法
CN109041057A (zh) * 2018-08-08 2018-12-18 兴唐通信科技有限公司 一种基于5g aka的核心网网元间鉴权流程安全性增强方法
CN109104727A (zh) * 2018-08-08 2018-12-28 兴唐通信科技有限公司 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法
CN109756896A (zh) * 2017-11-02 2019-05-14 中国移动通信有限公司研究院 一种信息处理方法、网络设备及计算机可读存储介质
US10299128B1 (en) * 2018-06-08 2019-05-21 Cisco Technology, Inc. Securing communications for roaming user equipment (UE) using a native blockchain platform

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150006898A1 (en) * 2013-06-28 2015-01-01 Alcatel-Lucent Usa Inc. Method For Provisioning Security Credentials In User Equipment For Restrictive Binding
WO2017206183A1 (zh) * 2016-06-03 2017-12-07 华为技术有限公司 一种网络切片的确定方法、装置及系统
CN108811000B (zh) * 2017-05-05 2021-02-26 华为技术有限公司 一种参数的确定方法及通信实体
CN109661006B (zh) * 2017-10-10 2021-11-30 中兴通讯股份有限公司 消息交互的方法及装置,及互操作功能
CN109951876B (zh) * 2017-12-21 2023-08-22 华为技术有限公司 通信方法、相关装置及系统
CN110049519B (zh) * 2018-01-15 2021-08-13 华为技术有限公司 会话建立方法、会话转移方法、设备和存储介质

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070155365A1 (en) * 2005-12-29 2007-07-05 Sung-Jun Kim Securing quality of service (QoS) according to type of wireless local area network (WLAN) service
CN103313239A (zh) * 2012-03-06 2013-09-18 中兴通讯股份有限公司 一种用户设备接入融合核心网的方法及系统
CN102917332A (zh) * 2012-10-11 2013-02-06 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
CN107005842A (zh) * 2014-12-02 2017-08-01 华为技术有限公司 一种无线通信网络中的鉴权方法、相关装置及系统
CN107113610A (zh) * 2014-12-02 2017-08-29 华为技术有限公司 一种无线通信网络中的鉴权方法、相关装置及系统
WO2017092813A1 (en) * 2015-12-03 2017-06-08 Telefonaktiebolaget Lm Ericsson (Publ) Multi-rat access stratum security
CN108781366A (zh) * 2016-03-10 2018-11-09 华为技术有限公司 用于5g技术的认证机制
CN105813079A (zh) * 2016-05-17 2016-07-27 工业和信息化部电信研究院 一种终端接入方法
CN109756896A (zh) * 2017-11-02 2019-05-14 中国移动通信有限公司研究院 一种信息处理方法、网络设备及计算机可读存储介质
CN108848502A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种利用5g-aka对supi进行保护的方法
US10299128B1 (en) * 2018-06-08 2019-05-21 Cisco Technology, Inc. Securing communications for roaming user equipment (UE) using a native blockchain platform
CN109041057A (zh) * 2018-08-08 2018-12-18 兴唐通信科技有限公司 一种基于5g aka的核心网网元间鉴权流程安全性增强方法
CN109104727A (zh) * 2018-08-08 2018-12-28 兴唐通信科技有限公司 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
NOKIA: "S3-171990 "More than one authentication vector may be sent to SEAF"", 《3GPP TSG_SA\WG3_SECURITY》 *
SHANAY BEHRAD . EMMANUEL BERTIN1. NOEL CRESPI: "A survey on authentication and access control for mobile networks:from 4G to 5G", 《ANNALS OF TELECOMMUNICATIONS 》 *
马书惠等: "M2M移动通信网络架构研究", 《移动通信》 *

Also Published As

Publication number Publication date
WO2021047481A1 (zh) 2021-03-18
CN112469043B (zh) 2022-10-28

Similar Documents

Publication Publication Date Title
CN108574969B (zh) 多接入场景中的连接处理方法和装置
CN110049070B (zh) 事件通知方法及相关设备
CN110830925B (zh) 一种用户群组的会话管理方法及装置
US11570617B2 (en) Communication method and communications apparatus
WO2013116976A1 (en) A fast-accessing method and apparatus
JP7043631B2 (ja) Sscモードを決定するための方法および装置
US11849323B2 (en) PDCP count handling in RRC connection resume
JP2022530961A (ja) ハンドオーバー処理方法および装置
WO2019047117A1 (zh) 接入网络的方法、终端设备和网络设备
CN113498057A (zh) 通信系统、方法及装置
EP3745774A1 (en) Policy control method, device and system
WO2019037551A1 (zh) 一种通信方法和相关设备
CN114173384A (zh) QoS控制方法、装置及处理器可读存储介质
CN116097751A (zh) 利用smf重新选择来重新锚定
US20150023247A1 (en) Wireless communication system and authentication method thereof
CN109936444B (zh) 一种密钥生成方法及装置
CN110519746A (zh) 一种用于终止接入和移动性管理策略关联的方法和装置
WO2023213301A1 (zh) 鉴权方法、通信装置和计算机可读存储介质
CN116349197A (zh) 一种切片隔离方法、装置及系统
CN112469043B (zh) 一种鉴权的方法及装置
EP3316608B1 (en) A communication network and a method for establishing non-access stratum connections in a communication network
CN112469077B (zh) 一种业务数据包转发的方法及装置
AU2017443403A1 (en) Method and terminal for redirecting network, access network device, and mobile management device
JP2024503748A (ja) 通信方法および装置
CN115884153A (zh) 通信的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant